Memerangi Kubernet — Tantangan IAM Terbaru

Sejak dirilis pada 2014, Kubernetes telah muncul sebagai salah satu sistem open source yang paling banyak digunakan untuk container — dan untuk alasan yang bagus. Alat manajemen kontainer memungkinkan lembaga untuk meningkatkan efisiensi organisasi, mengaktifkan pemantauan keamanan tingkat lanjut, dan mengurangi biaya.

Aktor jahat juga telah mengenali potensi Kubernetes yang kaya, karena dapat memberikan akses lengkap ke data organisasi untuk memanfaatkan pemerasan atau pencurian. Saat platform menjadi lebih populer, berbagai titik akhir — dan kerentanan potensial — mengembang.

Setelah diperkenalkan, Kubernetes dipandang sebagai sistem yang memungkinkan peningkatan langkah-langkah keamanan. Namun pada tahun 2021, Malware Siloscape muncul, menargetkan kluster Kubernetes yang dikonfigurasi dengan buruk untuk menanam pintu belakang yang memungkinkan penjahat mencuri data dan kredensial pengguna.

Sebagai serangan pertama terhadap lingkungan Kubernetes, organisasi mulai memperluas sumber daya keamanan siber mereka, tetapi ditantang oleh pengetahuan menyeluruh yang diperlukan untuk membuat dan bekerja di dalam kluster. Setiap kali sebuah cluster disusupi, aktor jahat mendapatkan akses ke beberapa aplikasi cloud, termasuk file rahasia, nama pengguna, dan kata sandi.

Banyak organisasi telah menerapkan fungsi manajemen akses dan identitas dasar (IAM) untuk mengatasi celah keamanan ini, tetapi solusi ini cenderung memberikan otorisasi master dan tidak memungkinkan tata kelola akses yang efektif. 

Untuk mengamankan lingkungan Kubernetes dengan sebaik-baiknya, organisasi memerlukan solusi IAM yang dapat disesuaikan untuk menyesuaikan peran dan akses tertentu dan, jika perlu, sesuaikan peran setelah pembuatan klaster selesai. IAM yang dapat disesuaikan untuk kontainer dapat memudahkan proses mengonfigurasi, mengelola, dan memastikan skalabilitas klaster.

Peran IAM yang Ditentukan 

Langkah pertama yang harus diambil organisasi untuk mengamankan klaster Kubernetes adalah dengan jelas menentukan peran dan izin untuk setiap pengguna. Membuat aturan yang lebih terperinci untuk akses kluster individual dapat memastikan satu kluster tidak menyediakan akses ke seluruh data organisasi. Seorang pengguna dengan izin untuk mengedit kumpulan data Kubernetes tetapi tidak dapat membuat dan mengelola peran memiliki ancaman yang lebih kecil daripada pengguna dengan izin administratif penuh.

Dengan peran yang ditentukan, organisasi kemudian dapat menentukan tingkat otorisasi dengan menetapkan aturan akses untuk berbagai jenis pengguna, karena kebutuhan izin akan bervariasi berdasarkan cluster. Pengguna dengan akses power-user dapat diberikan otoritas serupa kepada administrator tanpa kemampuan untuk menyesuaikan pengaturan dan utilitas, sementara pengguna lain dapat dibatasi untuk layanan tertentu di dalam cluster. Peran khusus ini kemudian dapat dipetakan ke pengikatan peran Kubernetes untuk otorisasi yang tepat.

Meskipun IAM digunakan untuk mengautentikasi individu, IAM masih bergantung pada kontrol akses berbasis peran (RBAC) asli Kubernetes untuk manajemen, yang mungkin perlu disesuaikan. Pembuat cluster akan secara otomatis diberikan izin master dalam konfigurasi RBAC-nya, sehingga memberikan izin administratif tanpa batas. Untuk mencegah aktor jahat memanfaatkan izin ini, tim keamanan hanya boleh mengaktifkan peran ini untuk pembuatan cluster dan menghapusnya setelah peta konfigurasi ditentukan.

Berikan Akses Paling Sedikit yang Diperlukan

Karena peran IAM yang awalnya dibuat memberikan akses tak terbatas kepada pengguna ke klaster masing-masing, organisasi harus berhati-hati untuk menghapus hak istimewa ini setelah tugas selesai. Jika aktor jahat mendapatkan akses ke kredensial ini, mereka akan memiliki kendali penuh atas cluster tersebut.

Organisasi harus menetapkan peran pembuat dengan akses paling sedikit yang diperlukan untuk mengonfigurasi klaster. Selanjutnya, seperti yang dinyatakan di atas, karena satu-satunya tujuan role adalah untuk menyiapkan cluster, peran tersebut harus dihapus setelah cluster dikembangkan.

Selain itu, pimpinan TI harus memberikan tingkat hak istimewa paling sedikit yang diperlukan saat membuat peran untuk setiap grup pengguna. Pemeliharaan hak istimewa ini juga penting. Administrator perlu berhati-hati dalam menghapus pengguna lama dan melakukan penyesuaian saat peran berubah, dengan mempertimbangkan otomatisasi untuk pembaruan ini jika perlu.

Kubernetes masih merupakan sistem yang relatif baru, dan fitur keamanan akan terus berkembang untuk lingkungan yang kompleks. Meskipun IAM memainkan peran penting dalam keamanannya, praktik terbaik harus diterapkan dan disesuaikan dengan fitur unik lingkungan Kubernetes. 

Dengan menentukan peran setiap pengguna, dan membatasi akses klaster dan kontrol manajemen yang sesuai, pemimpin TI dapat memastikan klaster Kubernetes tidak menjadi pintu gerbang bagi penjahat dunia maya untuk mengakses data organisasi mereka. Meskipun metode keamanan akan berkembang seiring kemajuan Kubernetes dan penggunaannya, peran yang ditetapkan dengan benar akan selalu memberikan lapisan perlindungan yang penting.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
• Sumber: https://www.darkreading.com/attacks-breaches/combating-kubernetes-the-newest-iam-challenge-